Трейл

Трейл — это ресурс Audit Trails, который собирает аудитные логи ресурсов Yandex Cloud и записывает их
в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams.

Область сбора аудитных логовОбласть сбора аудитных логов

В настройках трейла можно выбрать область сбора аудитных логов:

• организация — аудитные логи ресурсов сервисов в выбранных облаках организации;
• облако — аудитные логи ресурсов сервисов, которые находятся в выбранных каталогах облака;
• каталог — аудитные логи каталога.

Трейл будет собирать логи всех ресурсов, которые находятся в заданной области сбора, в том числе ресурсов, которые будут добавлены в область после создания трейла.

Для тех ресурсов, которые были добавлены в область сбора аудитных логов уже после создания трейла, сбор аудитных логов начнется автоматически.

Для событий уровня конфигурации область сбора содержит все поддерживаемые сервисы Yandex Cloud.

Для событий уровня сервисов область сбора задается отдельно для каждого сервиса.

В любой момент вы можете отключить сбор всех событий уровня конфигурации или сбор событий уровня сервисов для какого-либо одного или нескольких сервисов.

Объект назначенияОбъект назначения

Каждый трейл загружает аудитные логи только в один объект назначения: бакет, лог-группу или поток данных.

При загрузке аудитных логов в бакет Audit Trails формирует файлы аудитных логов приблизительно раз в 5 минут. Трейл запишет все события, которые произошли за это время с ресурсами облака, в один или несколько файлов. Если никакие события за этот период не произойдут, файлы не сформируются.

В лог-группу Audit Trails загружает аудитные логи в режиме, близком к реальному времени.

От типа объекта назначения зависит структура и содержимое сообщения, в котором Audit Trails передает аудитные логи:

• для бакета — в файле находится массив JSON-объектов аудитного лога;
• для лог-группы — в сообщении находится только один JSON-объект аудитного лога.
• для потока данных — в поток передаются сообщения, содержащие JSON-объекты аудитного лога.

Каждый трейл действует независимо от других трейлов. Используя несколько трейлов, можно разграничивать доступ к разным группам логов для пользователей и сервисов в соответствии с требованиями политики ИБ.

Настройки трейлаНастройки трейла

Трейл содержит в себе все настройки аудитного лога:

• Имя — обязательный параметр.
• Описание — опциональный параметр.
• Блок Назначение:
  • Назначение — значения Object Storage, Cloud Logging или Data Streams.
  • Для значения Object Storage:
    • Бакет — имя бакета.
    • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.
    • Ключ шифрования — симметричный ключ шифрования Yandex Key Management Service, которым будет зашифрован бакет.
  • Для значения Cloud Logging:
    • Лог-группа — имя лог-группы.
  • Для значения Data Streams:
    • Поток данных — имя потока данных.
• Блок Сервисный аккаунт — сервисный аккаунт, от имени которого будет выполняться загрузка аудитных логов в бакет, лог-группу или поток данных. Если аккаунту нужны дополнительные роли, появится предупреждение с перечнем ролей.
• Блок Сбор событий c уровня конфигурации:
  • Статус — включение и выключение сбора аудитных логов уровня конфигурации.
  • Ресурс — значения Организация, Облако или Каталог.
  • Для значения Организация:
    • Организация – имя текущей организации. Значение подставляется автоматически.
  • Для значения Облако:
    • Облако — имя облака, в котором находится текущий трейл. Значение подставляется автоматически.
    • Каталог — каталоги, для ресурсов в которых трейл будет собирать аудитные логи уровня конфигурации. Если не указать ни один каталог, то трейл будет собирать аудитные логи всех ресурсов в облаке.
  • Для параметра Каталог:
    • Каталог — имя каталога, в котором находится трейл. Значение подставляется автоматически.
• Блок Сбор событий с уровня сервисов:
  • Статус — включение и выключение сбора аудитных логов уровня сервисов.
  • Список сервисов, для каждого из которых отдельно настраивается:
    • Область сбора аудитных логов уровня сервисов.
    • Тип фильтра событий:
      • Получать все — для получения всех событий сервиса.
      • Выбранные — для получения только выбранных событий.
      • Исключить — для получения всех событий, кроме выбранных.
    • Список событий, если выбран тип фильтра Выбранные или Исключить.

Примеры использованияПримеры использования

• Поиск событий в аудитных логах
• Настройка алертов в Yandex Monitoring
• Настройка реагирования в Yandex Cloud Logging и Yandex Cloud Functions
• Обработка аудитных логов Yandex Audit Trails
• Загрузка аудитных логов в MaxPatrol SIEM
• Загрузка аудитных логов в SIEM Splunk
• Загрузка аудитных логов в SIEM ArcSight
• Загрузка аудитных логов в SIEM KUMA с помощью консоли управления, CLI или API

Что дальшеЧто дальше

• Узнайте о формате аудитных логов.
• Ознакомьтесь с логами диагностики трейла.
• Узнайте о событиях.